Kaspersky Security Center의 원격 설치 작업을 통한 강제 배포

네트워크 에이전트나 다른 애플리케이션의 초기 배포 수행을 위해, Kaspersky Security Center의 원격 설치 작업으로 선택한 설치 패키지를 강제 설치할 수 있습니다. 단, 기기마다 로컬 관리자 권한이 있는 사용자 계정이 있어야 합니다.

중앙 관리 서버가 기기에 직접 접근할 수 없을 때도 강제 설치를 적용할 수 있습니다: 기기가 격리된 네트워크에 있거나, 기기는 로컬 네트워크에 있고 중앙 관리 서버 항목은 DMZ에 있을 때를 예로 들 수 있습니다.

초기 배포 시 네트워크 에이전트가 설치되지 않습니다. 따라서 원격 설치 작업의 설정에서 네트워크 에이전트를 사용하여 애플리케이션 설치에 필요한 파일 배포를 선택할 수 없습니다. 중앙 관리 서버나 배포 지점을 통해서만 운영 체제 리소스를 사용하여 파일을 배포할 수 있습니다.

대상 장치에 대한 관리 권한이 있는 계정으로 중앙 관리 서버 서비스를 실행해야 합니다. 또는 원격 설치 작업의 설정에서 admin$ 공유에 접근 권한이 있는 계정을 지정할 수 있습니다.

기본적으로 원격 설치 작업은 중앙 관리 서버를 실행하는 계정의 자격 증명으로 기기에 연결합니다. 이 계정이 원격 설치 작업 실행에 사용하는 계정이 아닌, admin$ 공유 접근에 사용하는 계정임을 분명히 해야 합니다. 설치가 LocalSystem 계정으로 수행됩니다.

대상 기기가 속하는 Kaspersky Security Center 관리 그룹을 선택하거나, 특정 기준에 따라 기기 조회를 만들어 목록으로 대상 기기를 명시적으로 지정할 수 있습니다. 설치 시작 시간은 작업 스케줄에 따라 정의됩니다. 작업 속성에서 누락된 작업 실행 설정을 활성화하면 대상 기기가 켜진 직후나 대상 관리 그룹으로 이동될 때 작업을 실행할 수 있습니다.

강제 설치 시에는 설치 패키지를 대상 기기로 전달하고, 파일을 각 대상 기기의 admin$ 리소스에 복사하고, 해당 기기에서 지원 서비스를 원격 등록합니다. 네트워크 상호 작용을 수행할 수 있도록 하는 Kaspersky Security Center 기능을 통해 대상 기기로 설치 패키지를 전달합니다. 이 경우 다음 조건이 충족되어야 합니다:

• 대상 기기는 중앙 관리 서버나 배포 지점 측에서 액세스할 수 있습니다.
• 네트워크에서 대상 기기에 대한 이름 해석이 정상 작동합니다.
• 대상 기기에서 관리 공유(admin$)가 작동하는 상태로 유지되어야 합니다.
• 대상 장치에서 다음 시스템 서비스가 실행 중입니다:
  • Server(LanmanServer)

    이 서비스는 기본적으로 실행 중입니다.

  • DCOM Server Process Launcher(DcomLaunch)
  • RPC Endpoint Mapper(RpcEptMapper)
  • Remote Procedure Call(RpcSs)
• Windows 도구를 통한 원격 접근 활성화를 위해 TCP 445 포트가 대상 장치에서 열려 있습니다.

  TCP 139, UDP 137, UDP 138은 이전 프로토콜에서 사용되며, 현재 애플리케이션에서는 이제 필요하지 않습니다.

  중앙 관리 서버와 배포 지점에서 대상 장치로 연결하려면, 방화벽에서 동적 아웃바운드 액세스 포트를 허용해야 합니다.

• 네트워크 에이전트 배포 중 Active Directory 도메인 정책 보안 설정이 NTLM 프로토콜의 동작을 제공할 수 있습니다.
• Microsoft Windows XP를 실행하는 대상 기기에서는 단순 파일 공유 모드를 중지합니다.
• 대상 장치에서, 접근 공유 및 보안 모델은 클래식(로컬 사용자가 본인으로 인증)으로 설정됩니다. 이는 게스트 전용(로컬 유저가 게스트로 인증)일 수 없습니다.
• 대상 기기가 도메인의 구성원이거나 대상 기기에서 관리자 권한이 있는 통일 계정을 미리 만들어야 합니다.

Windows Server 2003 이상 Active Directory 도메인에 가입되지 않은 기기에 네트워크 에이전트나 기타 애플리케이션을 배포하려면, 해당 기기에서 UAC를 비활성화해야 합니다. 원격 UAC는 로컬 관리 계정이 네트워크 에이전트나 다른 애플리케이션의 강제 배포에 필요한 admin$에 접근하지 못하는 이유 중 하나입니다. 원격 UAC를 중지해도 로컬 UAC에 영향을 주지 않습니다.

아직 Kaspersky Security Center 관리 그룹에 할당되지 않은 새 기기에 설치를 수행하는 중에 원격 설치 작업 속성을 열고 네트워크 에이전트를 설치한 후 기기를 이동할 관리 그룹을 지정할 수 있습니다.

그룹 작업을 만들 때는 각 그룹 작업이 선택한 그룹 내에 중첩된 모든 그룹의 모든 기기에 적용된다는 점을 기억하십시오. 그러므로 하위 그룹에 중복된 설치 작업을 포함하면 안 됩니다.

자동 설치를 활용하면 애플리케이션 강제 설치 작업을 간단히 생성할 수 있습니다. 이렇게 하려면 관리 그룹 속성을 열고 설치 패키지 목록을 연 다음 이 그룹의 기기에 설치해야 하는 패키지를 선택해야 합니다. 그러면 이 그룹과 모든 해당 하위 그룹의 모든 기기에 선택한 설치 패키지가 자동으로 설치됩니다. 패키지가 설치되는 시간 간격은 네트워크 처리 성능과 총 네트워크 연결 기기 개수에 따라 달라집니다.

대상 기기로 설치 패키지를 전달하는 동안 중앙 관리 서버의 부하를 줄이기 위해 설치 작업에서 배포 지점을 통한 설치를 선택할 수 있습니다. 이 설치 방법을 사용하면 배포 지점 역할을 하는 기기의 부하가 크게 증가합니다. 따라서 배포 지점의 요구 사항을 충족하는 기기를 선택하는 것이 좋습니다. 배포 지점을 사용한다면 배포 지점이 대상 기기를 호스팅하는 격리된 각 서브넷에 있는지 확인해야 합니다.

저용량 채널을 통해 중앙 관리 서버와 통신하는 서브넷의 기기에서 설치를 수행할 때 동일 서브넷의 기기 간에 더 광범위한 채널을 사용할 수 있는 경우에도 배포 지점을 로컬 설치 센터로 사용하는 방식이 유용할 수 있습니다.

%ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit 폴더가 있는 파티션의 디스크 여유 공간은 설치되는 애플리케이션의 배포 패키지 총 크기보다 커야 합니다.

맨 위로